注册订阅我们的通讯,首次订单立享九折优惠
凹痕 凹痕
搜索
등록
搜索
搜索
我的包包
我的包包
我的包包
搜索
가까이

前言

我们的企业数据保护政策对处理客户、潜在客户、业务合作伙伴和员工的个人数据提出了严格要求。该政策符合欧洲数据保护指令(GDPR)的要求,并确保遵守国家和国际数据保护法律的原则。

该政策规定了我们公司适用的数据保护和安全标准,并规范了集团公司之间的信息共享。我们制定了七项数据保护原则——其中包括透明度、数据经济性和数据安全——作为我们的指导方针。

我们的管理人员和员工有义务遵守本政策并遵守其当地的数据保护法律。

作为企业数据保护负责人,我的职责是确保Dents的数据保护规则和原则得到遵守 得到遵守。

로버트 옌토프

主席

23/5/18

目录

I. 数据保护政策的目标

II. 数据保护政策的范围

III. 国家法律的适用

IV. 个人数据处理原则

1. 公平性与合法性

2. 限定特定目的

3. 透明度

4. 数据减少与数据节约

5. 删除

6. 事实准确性;数据保持最新

7. 保密性和数据安全

V. 数据处理的可靠性

1. 客户和合作伙伴数据

1.1 合同关系的数据处理

1.2 用于广告目的的数据处理

1.3 数据处理的同意

1.4 根据法律授权进行的数据处理

1.5 根据合法利益进行的数据处理

1.6 高度敏感数据的处理

1.7 自动个体决策

1.8 用户数据和互联网

2. 员工数据

2.1 雇佣关系的数据处理

2.2 根据法律授权进行的数据处理

2.3 同意数据处理

2.4 根据合法利益进行的数据处理

2.5 高度敏感数据的处理

2.6 自动决策

2.7 电信和互联网

VI. 个人数据的传输

VII. 合同数据处理

VIII. 数据主体的权利

IX. 处理的保密性

X. 处理安全

十一、数据保护监督

十二、数据保护事件

十三、责任与制裁

  1. 一、 数据保护政策的目标

作为其社会责任的一部分,Dewhurst Dent集团(以下简称“集团”)致力于遵守数据保护法律。本数据保护政策在全球范围内适用于集团 并基于全球公认的数据保护基本原则。确保数据保护是建立可信赖商业关系和集团所有公司作为有吸引力雇主声誉的基础。

数据保护政策为跨境提供了必要的框架条件之一

集团公司之间的数据传输。它确保了适当的数据保护水平

由GDPR和国家法律规定的跨境数据传输,包括尚无充分数据保护法律的国家。

  1. 二、 数据保护政策的范围

本数据保护政策适用于集团的所有公司和部门,即Dents、Gaby、Dents Australia Pty、Corgi Hosiery Ltd、D.Charles Astle(拍卖师)和Hersil Fabrics。

数据保护政策适用于所有个人数据的处理

  1. 三、 国家法律的适用

本数据保护政策包含国际公认的数据隐私原则

而不取代现有的国家法律。它补充了国家数据隐私法律。

相关国家法律在与本数据保护政策冲突时优先适用

政策,或其要求比本政策更严格。本数据保护政策的内容

即使缺乏相应的国家立法,也必须遵守。报告

必须遵守国家法律下的数据处理要求。

集团内每家公司负责遵守本数据保护政策及法律义务。所有员工在处理个人数据时必须阅读、理解并遵守本政策及相关政策,任何违规行为可能导致纪律处分。

  1. IV. 个人数据处理原则

1. 公平性与合法性

在处理个人数据时,必须保护数据主体的个人权利。

个人数据必须以合法和公平的方式收集和处理。数据保护法规允许为本政策中规定的特定目的进行处理。数据主体将被告知其个人数据处理的目的,详细信息可见公司员工隐私通知。

2. 限定于特定、明确和合法的目的

个人数据只能为特定、明确和合法的目的进行处理,且不得以与这些目的不符的方式处理。对目的的后续更改仅在有限范围内可能,且需有充分理由。


3. 透明度

必须告知数据主体其数据的处理方式。[员工将收到隐私通知,告知其数据的处理方式。] 信息应简明、透明、易于获取且使用清晰明了的语言。

通常,个人数据将直接从相关个人处收集。收集数据时,数据主体必须知晓或被告知:

» 数据控制者的身份

» 数据处理的目的

» 可能接收数据的第三方或第三方类别

个人数据也可以间接收集(例如,从第三方或公开可用的来源)。在收集/接收数据后,应尽快通知数据主体上述信息。

4. 数据减少与数据节约

个人数据必须适当、相关且限于为实现处理目的所必需的范围。在处理个人数据之前,您必须确定处理个人数据是否必要以及在多大程度上是必要的,以实现所进行的目的。

在目的允许且所涉及的费用与所追求的目标相称的情况下,必须使用匿名化或统计数据。除非国家法律要求或允许,否则不得提前收集个人数据并为潜在的未来用途存储。

5. 删除

当个人数据不再需要时,将根据公司的数据保留指南和政策予以删除。数据主体将在隐私政策中被告知数据存储的期限及该期限的确定方式。

必须要求第三方删除不再需要的数据(如适用)。

6. 事实准确性;数据保持最新

档案中的个人数据必须准确,并在必要时保持最新。必须采取适当措施确保不准确或不完整的数据被删除、更正、补充或更新。

7. 保密性和数据安全

个人数据须保密。必须在个人层面上视为机密,并采取适当的组织和技术措施防止未经授权的访问、非法处理或分发,以及意外丢失、损坏、修改或销毁。我们已根据公司的规模、范围、资源和已识别风险制定了适当的保障措施,并将定期评估和测试。我们已制定程序处理任何疑似个人数据泄露,并在法律要求时通知数据主体或相关监管机构。

个人数据仅会转移给同意遵守我们所要求的政策和程序,并同意采取适当措施维护数据安全的第三方服务提供商。未经适当保障措施,不会将个人数据转移到其他国家。

  1. V. 数据处理的可靠性

仅在以下法律依据下允许收集、处理和使用个人数据。

如果收集、处理和使用个人数据的目的要从原始目的更改,也需要其中一项法律依据。

1. 客户和合作伙伴数据

1.1 合同关系的数据处理

相关潜在客户、客户和合作伙伴的个人数据可以被处理,以建立、执行和终止合同。这也包括在合同范围内为合作伙伴提供的咨询服务,前提是该服务与合同目的相关。在合同签订前——合同启动阶段——可以处理个人数据以准备投标或采购订单,或满足潜在客户与合同签订相关的其他请求。可以使用潜在客户提供的信息在合同准备过程中联系他们。必须遵守潜在客户提出的任何限制。

1.2 用于广告目的的数据处理

如果数据主体联系集团公司请求信息(例如请求接收有关产品的信息资料),则允许为满足该请求而进行数据处理。

客户忠诚度或广告措施需遵守进一步的法律要求。个人数据可以用于广告目的或市场和舆论调查,前提是这与数据最初收集的目的相符。必须告知数据主体其数据将用于广告目的。如果数据仅为广告目的收集,数据主体的披露是自愿的。应告知数据主体为此目的提供数据是自愿的。在与数据主体沟通时,应获得其同意以处理其数据用于广告目的。在给予同意时,应向数据主体提供多种联系方式选择,如普通邮件、电子邮件和电话(同意,见V.1.3)。如果数据主体拒绝其数据用于广告目的,则不得再将其用于这些目的,且必须阻止其用于这些目的。必须遵守特定国家对广告用途数据使用的其他限制。

1.3 数据处理的同意

数据可以在数据主体同意后进行处理。在给予同意之前,必须按照本数据保护政策IV.3.的规定告知数据主体。为了记录目的,必须以书面或电子方式获得同意声明。在某些情况下,如电话交谈中,可以口头给予同意。必须对同意的授予进行记录。

1.4 根据法律授权进行的数据处理

如果国家法律要求、许可或允许,也允许处理个人数据。数据处理的类型和范围必须是法律授权的数据处理活动所必需的,并且必须符合相关法律规定。

1.5 根据合法利益进行的数据处理

如果出于集团的合法利益需要,也可以处理个人数据。合法利益通常具有法律性质(例如,收取未结应收款)或商业性质(例如,避免合同违约)。如果在个别情况下有证据表明数据主体的利益应受到保护且优先于合法利益,则不得为合法利益的目的处理个人数据。在处理数据之前,必须确定是否存在应受保护的利益。

1.6 高度敏感数据的处理

只有在法律要求或数据主体明确同意的情况下,才能处理高度敏感的个人数据。如果处理这些数据是为了主张、行使或维护与数据主体有关的法律权利的必要条件,也可以进行处理。如果计划处理高度敏感的数据,必须事先通知相关公司的董事长或首席执行官(他们是数据保护官)。

1.7 自动个体决策

用于评估某些方面(例如信用状况)的个人数据自动处理,不能作为产生负面法律后果或可能严重损害数据主体的决定的唯一依据。必须告知数据主体自动个体决策的事实和结果及其回应的可能性。为避免错误决策,必须由员工进行测试和合理性检查。

1.8 用户数据和互联网

如果在网站或应用程序上收集、处理和使用个人数据,必须在隐私声明中告知数据主体,并在适用时提供有关Cookie的信息。隐私声明和任何Cookie信息必须集成,使其易于识别、直接访问且持续可用给数据主体。如果创建使用档案(跟踪)以评估网站和应用的使用情况,必须始终在隐私声明中相应告知数据主体。只有在国家法律允许或获得数据主体同意的情况下,才可进行个人跟踪。如果跟踪使用假名,应在隐私声明中给予数据主体选择退出的机会。如果网站或应用可以访问仅限注册用户的个人数据,数据主体的身份识别和认证在访问时必须提供足够的保护。

2. 员工数据

2.1 雇佣关系的数据处理

在雇佣关系中,如果需要履行雇佣合同,包括启动、执行和终止雇佣关系,可以处理个人数据。在启动雇佣关系时,可以处理申请人的个人数据。如果候选人被拒绝,除非申请人同意将其数据保留用于未来的选拔过程,否则其数据必须在6个月内删除。

在现有的雇佣关系中,数据处理可能是履行雇佣合同所必需的,但也可能存在其他合法的处理依据,如下所述。如果在申请过程中需要从第三方收集申请人的信息,必须遵守相应国家法律的要求。如有疑问,必须获得数据主体的同意。处理与雇佣关系相关的个人数据可能有其他合法依据。这可以包括法律要求、员工的同意或公司的合法利益。

2.2 基于法律义务的数据处理

如果国家法律要求、规定或授权,个人员工数据的处理也是允许的。数据处理的类型和范围必须是法律授权的数据处理活动所必需的,并且必须符合相关法定规定。

2.3 同意数据处理

员工数据可在相关人员同意的情况下处理。声明同意必须是自愿提交的。非自愿同意无效。为便于记录,同意声明必须以书面或电子形式获得。在某些情况下,可以口头给予同意,但必须妥善记录。

如果员工通过声明或积极行为明确表示同意处理其个人数据,则视为同意。如果同意是在涉及其他事项的文件中给出的,则同意必须与其他事项分开保存。员工必须能够随时轻松撤回同意。

除非有其他法律依据,否则处理特殊类别数据需要明确同意(见下文第2.5段)。通常公司会依赖其他法律依据,因此不需要明确同意来处理特殊类别数据。

2.4 基于合法利益的数据处理

如果出于集团或第三方的合法利益目的,处理个人数据也是允许的。合法利益通常具有法律性质(例如提交、执行或抗辩法律诉讼)、财务性质(例如公司估值)或其他性质(例如保护个人或他人的重要利益是必要的,或为履行公共利益任务是必要的)。

如果在个别情况下,数据主体的利益或基本权利与自由优先于合法利益且需要保护个人数据,则不得基于合法利益处理个人数据。所依赖的合法利益将在适用的隐私声明中列明。此外,必须考虑国家法律下的任何额外要求(例如员工代表的共同决定权和数据主体的信息权)。

2.5 高度敏感数据的处理

高度敏感的个人数据仅能在特定条件下处理。高度敏感数据包括关于种族和民族出身、政治观点、宗教或哲学信仰、工会会员身份、遗传数据、生物识别数据、健康数据以及数据主体的性生活和性取向的数据。根据国家法律,其他数据类别也可能被视为高度敏感,或数据类别的内容可能有所不同。此外,涉及刑事定罪和犯罪的数据通常只能在国家法律规定的特殊要求下处理。处理必须在国家法律中明确允许或规定。此外,如果处理对于负责机构履行其在劳动法领域的权利和义务是必要的,也可以允许处理。员工也可以明确同意处理。如果计划处理高度敏感数据,必须提前通知数据保护经理。

高度敏感数据可在以下情况下处理:

  • 经数据主体明确同意
  • 当处理是为了履行或行使法律对数据控制者或数据主体在雇佣、社会保障或社会保护方面施加的义务或权利,且雇主拥有适当的政策文件和额外的保障措施时
  • 当处理是为了保护个人或他人的生命利益且个人无法给予同意时
  • 当处理涉及个人已公开的个人数据时
  • 当处理是为了建立、行使或维护法律权利时
  • 当处理是出于重大公共利益的原因,前提是雇主拥有适当的政策文件和额外的保障措施。这可以包括为促进平等待遇而处理数据
  • 当处理是为了评估个人的工作能力或根据与医疗专业人员的联系,并且受到保密保障时

2.6 自动决策

如果个人数据作为雇佣关系的一部分被自动处理,并且评估了特定的个人详细信息(例如作为人员选拔或技能档案评估的一部分),则该自动处理不能成为对受影响员工产生负面后果或重大影响的决策的唯一依据。为避免错误决策,自动化流程必须确保由自然人评估情况内容,并且该评估是决策的基础。数据主体还必须被告知自动处理的事实和结果以及回应的可能性。公司目前不打算使用自动决策,但如果情况发生变化,将以书面形式通知员工。

2.7 电信和互联网

电话设备、电子邮件地址、内联网和互联网以及内部社交网络主要由公司提供,用于与工作相关的任务。它们是工具和公司资源。可在适用的法律法规和公司内部政策范围内使用。在获授权的私人用途情况下,必须遵守电信保密法和相关国家电信法律(如适用)。不会对电话和电子邮件通信或内联网/互联网使用进行一般监控。为防御对IT基础设施或个别用户的攻击,可以对连接集团公司网络的连接实施保护措施,阻止技术上有害的内容或分析攻击模式。出于安全原因,电话设备、电子邮件地址、内联网/互联网和内部社交网络的使用可被暂时记录。仅在怀疑违反集团法律或政策的情况下,才可对特定人员的数据进行评估。必须同样遵守相关国家法律和集团规定。

  1. 六. 个人数据传输

向集团内外的接收方传输个人数据须遵守第五节关于个人数据处理的授权要求。除非已建立某些保障措施和合同安排,否则不会与第三方共享个人数据。数据接收方必须被要求仅为定义的目的并按照我们的指示使用数据。

如果数据被传输给集团外的接收方,传输至第三国,包括欧盟以外的国家,我们将确保该国具备足够的数据保护水平,以保护个人数据,达到本数据保护政策中规定的保护水平。如果数据由第三方传输至集团公司,必须确保数据将用于预定目的。

  1. 七. 合同数据处理

代表性数据处理意味着供应商被雇佣来处理个人数据,但不

被指派负责相关业务流程。在这些情况下,必须签订协议。

必须与外部提供者及公司之间签订委托数据处理协议。

集团内部。客户对数据处理的正确执行负全部责任。提供者只能按照客户的指示处理个人数据。下达订单时,必须遵守以下要求;下订单的部门必须确保这些要求得到满足。

  1. 提供者的选择必须基于其覆盖所需技术和组织保护措施的能力。
  2. 订单必须以书面形式下达。数据处理的指示以及客户和提供者的责任必须记录在案。
  3. 必须考虑数据保护经理提供的数据保护合同标准。
  4. 在数据处理开始之前,客户必须确信提供者将遵守义务。提供者可以通过

特别是通过出示合适的认证。根据数据处理的风险,必须在合同期限内定期重复审查。

  1. 仅使用对数据负有保密义务的员工和其他人员。
  2. 遵守与GDPR下对雇主施加的安全义务等同的安全义务。
  3. 通知雇主任何与雇主共享的个人数据相关的违规行为。
  4. 仅在获得雇主事先许可的情况下招募分处理者。
    1. 在跨境合同数据处理的情况下,必须满足披露个人数据到国外的相关国家要求。特别是,只有当提供者能够证明其具有与本数据保护政策等效的数据保护标准时,才能在第三国处理来自欧洲经济区的个人数据。合适的工具可以是:
      1. 与提供者及任何分包商就第三国合同数据处理达成欧盟标准合同条款协议。
      2. 提供者参与欧盟认可的认证体系,以提供足够的数据保护水平。
      3. 承认提供者的约束性企业规则,以由负责的数据保护监督机构创建适当的数据保护水平。

  1. VIII. 数据主体的权利

每个数据主体享有以下权利;

  1. 数据主体可以请求有关其个人数据的存储信息,包括数据的收集方式及其目的。如果还有其他权利

查看雇佣关系相关的雇主文件(例如人事档案)。

相关的劳动法律将保持不变。

  1. 如果个人数据传输给第三方,必须提供有关接收者身份的信息。

接收者或接收者类别。

  1. 如果个人数据不正确或不完整,数据主体可以请求更正。

或补充。

  1. 数据主体可以反对将其数据用于广告或市场/舆论调查的处理。数据必须阻止用于这些类型的用途。
  2. 如果数据处理没有法律依据,或法律依据已不再适用,数据主体可以请求删除其数据。如果数据处理的目的已终止或因其他原因不再适用,也适用同样规定。必须遵守现有的保留期限和需要保护的相互冲突利益。
  3. 当我们依赖合法利益(或第三方的合法利益)进行处理,且数据主体的特定情况使其希望基于此理由反对处理时,数据主体通常有权反对其数据被处理。如果由于特定个人情况,其利益的保护优先于数据控制者的利益,则必须考虑这一点。如果法律规定要求处理数据,或处理对于建立、行使或辩护法律权利是必要的,则不适用此条。
  4. 数据主体可以请求限制其个人信息的处理。这使数据主体能够请求暂停个人信息的处理,例如当他们希望雇主确认信息的准确性或处理的理由时。
  5. 在某些情况下,数据主体可以请求将其个人信息转移给另一方。

  1. 九. 处理的保密性

个人数据须保密。禁止员工未经授权收集、处理或使用此类数据。员工进行的任何未经授权的、非其合法职责范围内的数据处理均属未经授权。“知情需要”原则适用。员工仅可根据任务的类型和范围适当访问个人信息。这需要对角色和职责进行细致划分和分离,并加以实施。员工禁止将个人数据用于私人或商业目的,禁止向未经授权人员披露或以任何其他方式提供。主管必须在雇佣关系开始时告知员工保护数据机密的义务。该义务在雇佣关系结束后仍然有效。

  1. X. 处理安全

个人数据必须防止未经授权的访问和非法处理或披露,以及意外丢失、修改或销毁。无论数据是以电子方式还是纸质形式处理,此规定均适用。在引入新的数据处理方法,特别是新的IT系统之前,必须定义并实施保护个人数据的技术和组织措施。这些措施必须基于技术现状、处理风险以及数据保护需求(由信息分类流程确定)。特别是,相关部门可以与其数据保护经理协商。

  1. XI. 数据保护检查

遵守《数据保护政策》及适用的数据保护法律 定期检查法律的遵守情况. 数据保护检查结果必须报告给数据保护经理。

  1. XII. 数据保护事件

所有员工必须立即向其主管或数据保护经理报告违反本《数据保护政策》或其他个人数据保护法规的情况(数据保护事件)。负责该职能或部门的经理必须立即将数据保护事件报告给负责的数据保护经理。

在以下情况下

» 向第三方不当传输个人数据,

» 第三方对个人数据的不当访问,或

» 个人数据丢失

必须提交所需的公司报告(信息安全事件管理)

立即,以便遵守国家法律下的任何报告义务。

  1. XIII. 职责与制裁

集团公司的执行机构负责其职责范围内的数据处理。因此,他们必须确保符合法律要求以及《数据保护政策》中关于数据保护的规定(例如国家报告义务)。管理人员负责确保组织、人力资源和技术措施到位,以便任何数据处理均符合数据保护要求。相关员工有责任遵守这些要求。如果官方机构进行数据保护检查,必须立即通知数据保护经理。许多国家对个人数据的不当处理或其他违反数据保护法律的行为可进行刑事起诉,并可能导致赔偿损失的索赔。个人员工负责的违规行为可能会导致劳动法上的制裁。